PamStealer macOS Tehdidi: Sahte Maccy Siteleriyle Parola Çalma Yazılım

PamStealer macOS Tehdidi: Sahte Maccy Siteleriyle Parola Çalma

Yeni bir macOS bilgi hırsızı olan PamStealer, sahte Maccy sitesi ve PAM doğrulamasıyla kullanıcı parolalarını hedef alıyor.

Siber güvenlik araştırmacıları, macOS sistemlerini hedef alan yeni bir bilgi hırsızı olan PamStealer'ı tespit etti. Jamf Threat Labs tarafından keşfedilen bu zararlı yazılım, meşru bir açık kaynak pano yöneticisi olan Maccy'yi taklit ederek kullanıcıları kandırıyor. PamStealer adını, macOS'un Pluggable Authentication Modules (PAM) özelliğini kullanarak kurbanın oturum açma parolasını doğrulamasından alıyor.

Zararlı yazılım iki aşamalı bir enfeksiyon süreci izliyor. İlk aşamada, sahte bir web sitesi (maccyapp[.]com) üzerinden dağıtılan bir disk imajı içinde derlenmiş bir AppleScript (.scpt) dosyası bulunuyor. Bu dosya, ikinci aşamada Rust tabanlı bir bilgi hırsızını indiren bir JavaScript for Automation (JXA) indiricisi çalıştırıyor. Dikkat çekici olan, AppleScript'in çalıştırılması için kullanıcıdan Script Editor'da '⌘ + R' kısayolunu kullanmasını istemesi; bu sayede dosyanın alt kısmında gizlenen kötü amaçlı kod çalışıyor. Araştırmacı Thijs Xhaflaire, bu yöntemin Apple'ın Gatekeeper ve Terminal kısıtlamalarını aşmak için etkili olduğunu belirtiyor.

PamStealer, çalışma ortamını dikkatlice analiz ediyor. Yalnızca Apple Silicon işlemcili Mac'lerde çalışan zararlı yazılım, Intel tabanlı Mac'lerde şifre çözme başarısız olduğu için kendini sonlandırıyor. Ayrıca, Doğu Avrupa ülkelerindeki (Rusya, Belarus, Kazakistan vb.) sistemlerde çalışmayarak belirli bölgeleri hedef almaktan kaçınıyor. Tüm kontrolleri geçtikten sonra, Finder uygulaması gibi görünen Rust tabanlı Mach-O ikili dosyasını indiriyor ve tarayıcı verileri, kripto para cüzdan eklentileri, iCloud Anahtar Zinciri ve pano içeriğini topluyor.

İlginç bir özellik, zararlı yazılımın kullanıcıdan sistem parolasını isteyen sahte bir pencere göstermesi ve girilen parolayı PAM API aracılığıyla doğrulaması. Doğrulama başarısız olursa, kullanıcıdan tekrar parola girmesini istiyor. Doğru parola alındığında, 'Maccy hasar gördü ve açılamıyor' mesajıyla kullanıcıyı yanıltarak, aslında verilerin çalındığı ve kalıcılığın sağlandığı bir tuzak kuruyor. Maccy geliştiricisi Alex Rodionov, kullanıcıları sahte sitelere karşı uyarırken, Jamf araştırmacıları bu tür tehditlerin giderek daha sessiz ve yerel uygulamalarla evrildiğini vurguluyor.

Paylaş: